K úniku dat přitom stačilo být připojený k nezabezpečené wi-fi síti. Útočníci pak na dobu dvou týdnů získali přístup ke jménům v telefonním seznamu, schůzkám v kalendáři i snímkům a videím v galerii. Všechny tyto aplikace totiž využívají nezabezpečený přihlašovací protokol (autentifikaci uživatele), a jsou tedy zranitelné.
Na případ upozornili experti z německé univerzity v Ulmu, kteří doplňují, že teoreticky mohou být ohroženy i další Google aplikace využívající uvedený protokol. Problém se může týkat i aplikací třetích stran. I klienti pro Facebook a Twitter využívají nešifrované komunikace.
Ohrožen téměř každý telefon s Androidem
Na univerzitě následně otestovali řadu androidových telefonů s různými verzemi operačního systému (2.1 - 2.3.4) a tablet Motorola Xoom s Androidem 3.0. Ukázalo se, že systém až do verze 2.3.3 používá u trojice Google aplikací nezabezpečené komunikace se vzdálenými servery, což dle údajů z 2.května představuje 99,7 % všech používaných telefonů s tímto systémem. To je samozřejmě velký problém.
Počínaje verzí 2.3.3 Google používá galerijní aplikaci Picasa, která ovšem stále používá nešifrované připojení a i nadále skrze ní mohou útočníci odchytávat autentizační tokeny. Telefony s Androidem 2.3.4, kterých ale po světě zatím koluje naprosté minimum, již komunikují u vestavěné aplikace telefonního seznamu a kalendáře přes šifrované kanály https.
Google na odhalený problém bryskně reagoval a zakrátko připravil softwarový update, který začal obratem distribuovat OTA (Over-The-Air - vzduchem) do všech zranitelných přístrojů. Jak ale upozorňují pracovníci z německé univerzity, patch nezabrání opětovnému využití již zachycených tokenů. Doporučují uživatelům, kteří mají pocit, že jim zmizela nebo byla upravena některá jména v telefonním seznamu a záznamy kalendáře, obratem změnit heslo ke svému Google účtu. Tím pádem budou všechny zachycené údaje útočníkům k ničemu.
Připomeňme, že Google Android bývá terčem obdobných útoků poměrně často. V minulosti se objevila řada případů, kdy si uživatelé stáhli z neoficiálních aplikačních portálů spolu se zajímavou aplikací i trojského koně, který pak v telefonu žil vlastním životem a bez vědomí uživatele odesílal osobní data na vzdálené servery. Později se škodlivé aplikace dokonce objevily přímo v Android Marketu, což již byl pro Google důvod k zamyšlení.
